2008年(8065)
分类: 服务器与存储
2008-07-09 23:35:33
作为独立厂商,NeoScale、Kasten Chase和Decru最终推出市场,而一些大型存储厂商则将更加完善的安全性集成到他们的产品中,相关标准机构也将目光集中到了这个领域。
存储安全标准似乎正在以前所未有的速度发展着,以下是几种不同的标准(这远远不能概括所有的标准):执行嵌入式AES 256位加密技术(现在应用于LTO-4磁带驱动器中)的LTO技术联盟(LTO Consortium);T10委员会正在致力于SCSI存储接口标准的制定;电气及电子工程师学会(Institute of Electrical and Electronics Engineers,IEEE)1619.3委员会正在着眼于密钥管理领域;Trusted Computing Group(TCG)有他们自己的可信任安全技术;存储网络工业协会(Storage Networking Industry Association,SNIA)的存储安全论坛SSIF则正在研究一种长期的整体安全架构。
Enterprise Strategy Group信息安全分析师Jon Oltsik表示:“AES-256是一个创立时间较长、行业内广泛采用的标准,而其他的安全策略还在不断的完善过程中。”
LTO技术联盟在一年前宣布接受AES 256位加密技术,采用这种标准的磁带驱动器产品也在去年中旬开始出货。昆腾、IBM和惠普已经在各自LTO-4驱动器的FC(光纤通道)、SAS和SCSI版本中采用够了这种加密技术。效果是显而易见的——加密技术被集成到磁带驱动器中,而不是通过执行一个应用或者安装软件来保护磁带数据。
加密的关键
Oltsik指出,其他安全标准都还没有最后成型,其中有些为期尚远,有些即将完成,IEEE 1619.3密钥管理标准委员会似乎属于后者。IEEE 1619.3委员会正在致力于创建一个密钥管理者对磁带等设备进行操作的通用标准。他们的目标是让用户不必再配置某个特定的密钥管理解决方案,因为这些带来了追踪和管理的困难。IEEE 1619.3希望能让用户选择一套可以在多厂商的多平台之间进行操作的密钥管理解决方案。
Oltsik表示:“这个委员会主要致力于密钥管理标准的制定,我认为随着配置密钥的用户越来越多,密钥管理标准将成为一个重要话题。”
IEEE 1619.3主要由来自终端企业用户和厂商的工程师组成。例如,昆腾公司就参与了多项存储安全标准的制定。
昆腾公司安全和解决方案高级产品经理Robert Callaghan表示:“IEEE 1619.3创建了一个基于标准的密钥管理API,不同的密钥管理厂商和存储磁带加密解决方案提供商都可以基于这个密钥管理API进行操作,IEEE 1619.3的目标是为用户提供多重选择和互操作性。”
他举了一个例子,一位将昆腾i2000与LTO-4和加密技术配套应用的用户可以在不同厂商之间任意选择适合他们需求和预算的解决方案,而并不一定非要锁定在昆腾公司提供的密钥管理软件。
这种做法可能存在的一个问题就是需要对多个密钥管理软件、密钥组和密钥的备份进行管理,对访问和提供这些密钥的路径进行保护。采用过一种密钥管理软件来管理所有的密钥既可以节省时间和金钱,而且还解决了管理者不得不管理多接口和密钥软件软件相关的难题。
那么,这种标准不久即将开始应用执行吗?IEEE 1619.3委员会主席Matt Ball对此表现得十分乐观。目前IEEE 1619.3委员会推出的两项标准IEEE 1619 and IEEE 1619.1.都已经被通过,而且他们还取得了许多厂商的支持。
IEEE 1619解决了磁盘驱动器等基于块存储设备的数据加密问题。Ball表示:“目前我所知IEEE 1619的一个负面消息就是一家大型的硬盘制造商不相信加密模块适用于硬盘产品。不过他们在这方面并没有取得别人的共鸣,已经有不少硬盘解决方案提供了XTS加密模块:TrueCrypt、FreeOTFE以及dm-crypt。”
IEEE 1619.1解决了大容量磁带驱动器的加密问题。像IBM、惠普、Sun和昆腾等主要的磁带驱动器厂商都推出了支持IEEE 1619.1的加密磁带驱动器产品。
Ball表示:“对IEEE 1619.1和IEEE 1619的一致认同是存储安全领域具有象征意义的里程碑,因为这样存储场上就有了提供强大数据保护功能的动力。预计不久我们就将发现用户不再需要那些通用的解决方案,而对这种标准的需求则越来越强烈。”
他认为,如果一家厂商不愿意透露自己加密算法的具体细节,那么它可能就是不安全的,这就是不少加密社区所倡导的:隐藏式安全性(Security through obscurity)实际上根本不安全。
既然有了IEEE 1619.1和IEEE 1619的成功先例,Ball对IEEE 1619.3抱有十足的信心。IEEE委员会在一年之前就开始致力于密钥管理领域的研究,并且取得了喜人的进展。他表示,IEEE委员得到了来自思科、Sun、惠普、IBM、希捷、NetApp、RSA Security以及nCipher等主要存储厂商的支持。
Ball表示:“到今年夏季,我们将推出一种体系架构,到时候这些厂商都会提前试行。我们还计划通过开源的实施参考来加速这种架构的普及。我们预计这个项目将在明年年终完成。”
与此同时,IEEE Security in Storage Working Group(SSWIG)也致力于另一项1619系列标准的研究。1619.2主要针对宽存储块的加密,Sun公司的Jim Hughes担任该标准委员会的主席。
目前该委员会正在对两个宽存储块加密技术进行标准化:EME和XCB(EME是用于PGP的全磁盘加密设备)。预计这个项目将在今年夏季完成,接下来将是漫长的投票和公布工作。
与时间赛跑
然而,IEEE委员会必须确保在完成之前不能出现任何小差错。Oltsik认为,在标准领域时间就是一切。如果业内需要某项标准,而这项标准却迟迟不能出台,那么这方面的空白将会被厂商特有的策略所占领。
Oltsik表示:“如果一项标准的创建和通过都很迅速的话,1619.3将可以获得广泛的支持。如果非常耗费时间的话,厂商可能就自己想办法如果将自己的策略与其他厂商的策略进行整合。”